tag:shakal.blog.de,2013-06-19:/MokoFeed2013-06-19T02:53:02+02:00tag:shakal.blog.de,2013-04-18:/2013/04/18/smartphone-forensik-link-analysis-informationen-15766095/shakal2013-04-18T12:22:01+02:002013-04-18T12:22:01+02:00 <p>Ein weiterer, kleiner Einblick in Link Analysis (LA), der durchaus interessant sein dürfte. Cellebrite hat Openstreetmap in den LA integriert, so dass man auch die Möglichkeit der geografischen Darstellung hat. In diesem Beispiel sind es 3 Geräte, von denen aber lediglich 2 über Geodaten verfügen. Diese werden dann in der Map dargestellt und farblich differenziert. Im vorliegenden Fall kann man deutlich erkennen, dass beide Geräte sich an 2 Orten überwiegend aufgehalten haben. Welches das im Detail sind, kann sehr nah gezoomt werden und weitere Details befinden sich in der Liste unterhalb der Map. Je näher man in die Map hinein zoomt, um so klarer und detaillierter werden dann auch die Orte differenziert dargestellt.<br> Im Fenster unten links werden die Koordinaten dann noch angezeigt. </p> <p class="center"><img src="http://data8.blog.de/media/742/6991742_b91415b951_m.jpeg" alt="analysis"><img src="http://data8.blog.de/media/743/6991743_5f7545a570_m.jpeg" alt="analysis1"></p> <p> <small> <a href="http://shakal.blog.de/2013/04/18/smartphone-forensik-link-analysis-informationen-15766095/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-04-18:/2013/04/18/smartphone-forensik-link-analysis-15765650/shakal2013-04-18T09:46:37+02:002013-04-18T09:46:37+02:00 <p>Cellebrite hat gestern (17.4.) offiziell das Release der Software Link Analysis bekannt geben und in Version 1.7 bereit gestellt. Anwender von UFED und UFED Touch können diese Software zusätzlich lizensieren lassen.<br> Ein weiteres Tool wird damit den Anwendern von UFED/Touch zur Verfügung gestellt, mit dem es deutlich vereinfacht wird, analysierte Daten aus dem Physical Analyzer (PA) grafisch aufzubereiten, zu analysieren und insbesondere Verknüpfungen transparent zu machen.<br> Dazu erstellt man aus dem PA heraus einen UFED Bericht, der dann in Link Analysis importiert wird. Darin enthalten alle Daten, die aus einer Extraktion gewonnen wurden. Man kann nun die Daten von unterschiedlichen Telefonen zu Untersuchung einlesen um Daten miteinander vergleichen. Dabei werden Ereignisse farblich unterschiedlich dargestellt, um eine bessere Darstellung zu erzielen. Im Screen deutlich erkennbar, dass 2 Telefone hier analysiert wurden, die dann Gemeinsamkeiten aufweisen. Der PA ermöglicht ja, dass man Daten von vielen Smartphones (z.B.) einlesen kann, um diese auszuwerten. Eine so übersichtliche Darstellung an sich ist dennoch bisher nicht möglich gewesen. Die Verbindungen von Daten aus den extrahierten Smartphones können nun deutlicher dargestellt werden. Ermittler und Analysten haben nun die Möglichkeit, Beziehungen zwischen Handys, Smartphones und deren Daten daraus herzustellen.</p> <p class="center"><a href="javascript:window.open(" title="analysis"><img src="http://data8.blog.de/media/526/6991526_46bd93b4d4_m.png" alt="analysis"></a></p> <p> <small> <a href="http://shakal.blog.de/2013/04/18/smartphone-forensik-link-analysis-15765650/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-04-13:/2013/04/13/forensik-facebook-messages-dekodieren-15752453/shakal2013-04-13T17:35:27+02:002013-04-13T17:35:27+02:00 <p>Der Facebook Messenger und/oder die internen Mails des Facebook System sind ja nicht in Facebook an sich vorhanden, sondern auch auf einem Smartphone, sofern damit Facebook benutzt wurde.<br> Der Physical Analyzer decodiert diese Informationen in den Bereich der analysierten Daten - Chats direkt. Dort befinden sich u.a. auch Messages dann von Twitter, wenn man darüber geschrieben hat.<br> Im Details sind 4 Offset vorhanden, die den <strong>Party.Identifier</strong>, den <strong>Party.Name</strong>, <strong>Chat.InstantMessage.Body</strong> und <strong>Chat.InstantMessage.TimeStamp</strong> zum Inhalt haben. Daraus geht hervor, dass wir zunächst einmal die ID des Facebook Benutzers identifizieren, dazu den Namen der verwendet wird (der vom Realnamen ja abweichen kann), den Textinhalt der Message und die Zeit der Nachricht. Die Konversation die geführt wurde, ist im sichtbaren Feld dann chronologisch aufgeführt. Ohne die Rohdaten ist das natürlich übersichtlicher dargestellt. Meine Ausführungen hier sollen dienlich sein, wenn man <strong>keine</strong> Dekodierung bekommen hat und so nach den Rohdaten suchen kann.</p> <p class="center"><a href="javascript:window.open(" title="facebook"><img src="http://data8.blog.de/media/580/6983580_d3d31584e5_m.png" alt="facebook"></a></p> <p> <small> <a href="http://shakal.blog.de/2013/04/13/forensik-facebook-messages-dekodieren-15752453/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-04-11:/2013/04/11/forensik-schnipsel-dekodierte-geodaten-sichtbar-15746527/shakal2013-04-11T19:01:43+02:002013-04-11T19:01:43+02:00 <p>Nach einer physikalischen Extraktion eines Smartphones, stehen dem Ermittler oder Forensiker eine Menge Daten zur Verfügung, die nach entsprechenden Ermittlungskriterien zu durchsuchen sind. Augenmerkt heute liegt auf den Geodaten, so genannten Locations. Diese können auf ganz unterschiedliche Art und Weise in ein Gerät kommen. Zum einen das ein User Daten über die Location eines WLAN speichert, Locations über Facebook einträgt, das Smartphone als Navigationsgerät verwendet oder auch so genannte Geo-Tag in Bildern. Alle diese Informationen können in fast allen Fällen mittels dem Physical Analyzer (PA) dekodiert werden und man kann diese dann betrachten. </p> <p>Nun kann man die Positionsdaten aus dem PA heraus kopieren und in die Suchleiste seines Browser einfügen und siehe da, man hat die Position, an der dieses Bild beispielsweise entstanden ist:</p> <p class="center"><a href="javascript:window.open(" title="geo1"><img src="http://data8.blog.de/media/528/6980528_3794afca8e_s.png" alt="geo1"></a><a href="javascript:window.open(" title="geo2"><img src="http://data8.blog.de/media/529/6980529_605eac2eef_s.png" alt="geo2"></a></p> <p>Es wäre allerdings umständlich, wenn man tausende Positionsdaten in einem Fall hat und diese dann einzeln kopieren müsste. Cellbrite hat dafür im PA die Exportfunktion integriert, so dass man sich lediglich die Positionsdaten exportieren kann. Dafür wird eigens ein neuer Ordner angelegt, in dem sich dann der HTML Bericht befinden. Dies kann man vorab wählen, in welchem Format exportiert werden soll.</p> <p class="center"><a href="javascript:window.open(" title="geo3"><img src="http://data8.blog.de/media/530/6980530_35fdf74117_s.png" alt="geo3"></a></p> <p>Wie im nachstehenden Bild sehr schön erkennbar, ist der HTML Bericht deutlich übersichtlicher und bietet mit den kleinen Icons die Möglichkeit, direkt auf die Position die man wünscht zu klicken, denn dahinter befindet sich bereits ein Link zum Google Maps Dienst, den man anklicken kann und auch hier sieht man dann das gleiche Ergenis. Als weiteres Bild dann sichtbar, der klick auf den Link aus dem Bericht heraus.</p> <p class="center"><a href="javascript:window.open(" title="geo4"><img src="http://data8.blog.de/media/531/6980531_4d252f7c04_s.png" alt="geo4"></a><a href="javascript:window.open(" title="geo5"><img src="http://data8.blog.de/media/532/6980532_5690a55134_s.png" alt="geo5"></a></p> <p>So dann, viel Spaß beim auswerten :-)</p> <p>Ps.: Ich habe hier mit dem PA 3.7 Beta gearbeitet. Diese Funktionen sind in der 3.6.x Version ebenfalls vorhanden. </p> <p> <small> <a href="http://shakal.blog.de/2013/04/11/forensik-schnipsel-dekodierte-geodaten-sichtbar-15746527/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-04-08:/2013/04/08/forensik-tutorial-physical-analyzer-apk-dateien-analysieren-15732507/shakal2013-04-08T15:16:08+02:002013-04-10T12:10:33+02:00 <p>Der Physical Analyzer von Cellebrite bietet einen sehr mächtigen Hex-Editor an, mit dem man in Roh-Daten suchen kann. Die Suche ist grundsätzlich natürlich sehr spezialisiert.<br> Was macht man aber, wenn man eine App (z.B. APK Android) zur Untersuchung bekommt um zu schauen was die alles macht, aus welchen Bestandteilen sie besteht usw.?</p> <p>Ist sehr einfach: Zunächst einmal nimmt man die blanke *.apk Datei und benennt diese entsprechend um, so dass diese nun eine *.zip darstellt. In einer *.apk sind in der Regel enthalten:</p> <p>Ordner: assets, lib, META-INF, res und entsprechende Unterordner zur jeweiligen App. Dazu kommen dann noch die AndroidManifest.xml, classes.dex sowie die resources.arsc Dateien, die immer vorhanden sind.</p> <p>Nach dem umbenennen der *.apk Datei in eine *.zip Datei, kann man diese dann wie nachfolgend einfach in den PA einlesen:</p> <p>1. Menü File - Öffnen (Erweitert)<br> 2. Ohne eine UFED Datei beginnen - Leeres Projekt</p> <p class="center"><a href="javascript:window.open(" title="physical1"><img src="http://data8.blog.de/media/961/6974961_c71b9eb373_m.png" alt="physical1"></a></p> <p>3. Nun kann man eine zip-Datei wählen, die man einlesen möchte<br> 4. Mit einem Klick auf Finish wird die gewählte Datei eingelesen</p> <p class="center"><a href="javascript:window.open(" title="physical2"><img src="http://data8.blog.de/media/962/6974962_87f5b050e4_m.png" alt="physical2"></a><a href="javascript:window.open(" title="physical3"><img src="http://data8.blog.de/media/963/6974963_b27831868d_m.png" alt="physical3"></a></p> <p>5. Am Ende dann sieht man eine Übersicht der extrahierten Daten sowie die vollständige Struktur, die man nun im Hex-Editor untersuchen kann.</p> <p class="center"><a href="javascript:window.open(" title="physical4"><img src="http://data8.blog.de/media/964/6974964_70fee60233_m.png" alt="physical4"></a></p> <p>Viel Spaß mit dem Physical Analyzer.<br> Dieses Tutorial soll dienlich dafür sein, wenn man nicht dutzende Software auf seinem Auswertungs Computer installieren möchte.<br> APK Dateien insbesondere lassen sich selbstverständlich mit einer Vielzahl an Tools untersuchen.</p> <p>Auch als Download im PDF Format verfügbar: <a href="http://www.omega-defense.com/apk.pdf">http://www.omega-defense.com/apk.pdf</a></p> <p>Analysing of *.apk files directly with UFED Physical Analyser PDF English<br> <a href="http://www.omega-defense.com/apk_en.pdf">http://www.omega-defense.com/apk_en.pdf</a> </p> <p> <small> <a href="http://shakal.blog.de/2013/04/08/forensik-tutorial-physical-analyzer-apk-dateien-analysieren-15732507/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-04-08:/2013/04/08/forensikschnipsel-zusammenfassung-kurzer-beitraege-15731800/shakal2013-04-08T11:41:33+02:002013-04-08T11:41:33+02:00 <p>Heute gibt es hier eine kleine Zusammenfassung von Artikeln und Schnipsel aus Twitter, Google Plus & Kollegen.</p> <p>"Cellebrite verfügt mit dem Physical Analyzer bereits über eine starke Lösung, Daten in Echtzeit zu dekodieren und so sichtbar zu machen, dass Ermittler und Auswerter damit komfortabel arbeiten können. Das was also beispielsweise eindeutig in Datenbanken als Bild abgelegt ist, findet sich dann auch in dem dekodierten Sektor "Datendateien - Bilder" wieder. Je nach Anforderung einer forensischen Auswertung ist es wichtig, versteckte Bilder zu finden."<br> <a href="https://plus.google.com/u/0/103916345984512341806/posts/PyhSHvh6LW8">https://plus.google.com/u/0/103916345984512341806/posts/PyhSHvh6LW8</a></p> <p>Kollege Pascal schreibt über Faraday Bags für die Forensik:<br> "Denn ein im Netz eingebuchtes Smartphone kann ja bekannterweise auch gelöscht werden. Siehe hierzu bspw. find my iPhone für iOS Devices. Ebenso besteht die Möglichkeit das beim ausschalten eines Smartphone Daten und Informationen überschrieben oder gelöscht werden."<br> <a href="http://zehndaumen.de/2013/04/07/faraday-bag-fur-die-it-forensik/">http://zehndaumen.de/2013/04/07/faraday-bag-fur-die-it-forensik/</a></p> <p>WiebeTech DITTO<br> <a href="http://zehndaumen.de/2013/04/02/cru-wiebetech-ditto/">http://zehndaumen.de/2013/04/02/cru-wiebetech-ditto/</a></p> <p>Staunen bei Netzpolitik.org:<br> "Handy-”Durchsuchungen” sind in den USA ein übliches Instrument der Strafverfolgung, bisher war jedoch wenig darüber bekannt, welche Menge an sensiblen Informationen dadurch gewonnen wird."<br> <a href="https://plus.google.com/u/0/103916345984512341806/posts/CunxqsgDuZx">https://plus.google.com/u/0/103916345984512341806/posts/CunxqsgDuZx</a></p> <p>Dekoding Fehler, der Zeit voraus sein:<br> <a href="https://plus.google.com/u/0/103916345984512341806/posts/3uRaiiK2wiZ">https://plus.google.com/u/0/103916345984512341806/posts/3uRaiiK2wiZ</a></p> <p>Viel Spaß beim stöbern. </p> <p> <small> <a href="http://shakal.blog.de/2013/04/08/forensikschnipsel-zusammenfassung-kurzer-beitraege-15731800/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-03-26:/2013/03/26/forensik-schnipsel-forensische-bildbetrachtung-auswertung-15674988/shakal2013-03-26T18:12:34+01:002013-03-26T18:12:34+01:00 <p>Über die Bildforensik habe ich bereits mehrfach etwas geschrieben. Heute ein kleiner Beitrag eher theoretischer Natur zu Überlegungen, wie sollte ein Forensiker mit den ausgewerteten Daten umgehen. In der Forensik kommt es nicht selten vor, dass man Bilder, insbesondere von Smartphones auswerten kann, die mit Positionsdaten versehen sind. Ein Forensiker sollte dann, je nach Lage der Ermittlung und Ziel einer Ermittlung sorgfältig mit den Positionsdaten umgehen. Anhand von Positionsdaten und dem Timestamp der Bilddatei kann z.B. ermittelt werden, ob sich ein Tatverdächtiger zum Tatzeitpunkt an einem Tatort oder in der Nähe aufgehalten hat. Im vorliegenden Fall kommen die Positionsdaten aus dem asiatischen Raum und könnten einen Tatverdächtigen in Europa entlasten. Wenn da nicht ein kleines Detail wäre, welches man nicht übersehen sollte: das Aservat ist im vorliegenden Beispiel ein Samsung Telefon, welches augenscheinlich vom Tatverdächtigen stammt. Bei genauer Betrachtung der EXIF Meta Daten, die im Physical Analyzer sehr schön aufbereitet sind erkennen wir deutlich, dass diese Positionsdaten von einem iPhone stammen und somit keine entlastende Information vorliegt. Weitere Meta Daten sind natürlich ebenfalls nützlich und können dementsprechend entlastend oder belastende Informationen liefern.</p> <p class="center"><a href="javascript:window.open(" title="bilder"><img src="http://data8.blog.de/media/192/6953192_4b4cee394b_m.png" alt="bilder"></a></p> <p>Mehr auch dazu:<br> <a href="http://shakal.blog.de/2012/04/23/anti-forensik-taeter-spuren-verwischen-manipulieren-13562310/">http://shakal.blog.de/2012/04/23/anti-forensik-taeter-spuren-verwischen-manipulieren-13562310/</a></p> <p>Facetagging <a href="http://shakal.blog.de/2012/11/05/tagging-zeigt-her-gesichter-taggt-15167958/">http://shakal.blog.de/2012/11/05/tagging-zeigt-her-gesichter-taggt-15167958/</a></p> <p><a href="http://shakal.blog.de/2013/02/06/digitale-forensik-image-carving-15506188/">http://shakal.blog.de/2013/02/06/digitale-forensik-image-carving-15506188/</a> </p> <p> <small> <a href="http://shakal.blog.de/2013/03/26/forensik-schnipsel-forensische-bildbetrachtung-auswertung-15674988/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-03-14:/2013/03/14/forensik-decoding-imaging-hexerei-15626483/shakal2013-03-14T11:28:35+01:002013-03-14T11:37:01+01:00 <p>Es ist an sich nichts weltbewegendes in der Forensik, in Roh-Daten zu arbeiten und diese forensisch zu verwerten. Ich habe mal 3 Screens gemacht, die das Thema etwas verdeutlichen können. Zum einen sieht man sehr schön, dass mittels des Physical Analyzer die Daten nach der Extraktion sehr schön decodiert und aufbereitet werden. </p> <p class="center"><a href="javascript:window.open(" title="decoding2"><img src="http://data8.blog.de/media/551/6931551_a8c1ebc5a0_m.png" alt="decoding2"></a></p> <p>Man kann sich entsprechend in die Bereiche, hier E-Mail direkt reinklicken und kann für spätere Analysen sich die Bereiche im Image direkt anzeigen lassen. Das kann für Ermittlungen sehr von Vorteil sein, wenn man bestimmte Muster wiederkehrend benötigt. Dies kann man dann, wie auf dem Screen sichtbar, dann auch einfacher im Roh-Image finden und verarbeiten. </p> <p class="center"><a href="javascript:window.open(" title="decoding3"><img src="http://data8.blog.de/media/556/6931556_29980589df_m.png" alt="decoding3"></a></p> <p>Im Projektbalken deutlich erkennbar, handelt es sich in einem Fall um eine physikalische Extraktion und im anderen Fall eine Filesystem Extraktion, durch die dann das Decoding erfolgen kann und somit die Arbeit eines jeden Ermittlers vereinfacht und beschleunigt.<br> Ein durchaus wichtiger Aspekt und man muss deutlich sagen, dass hier von Cellebrite ein sehr mächtiges Werkzeug entwickelt wurde.</p> <p class="center"><a href="javascript:window.open(" title="decoding1"><img src="http://data8.blog.de/media/557/6931557_e280dbe13a_m.png" alt="decoding1"></a></p> <p> <small> <a href="http://shakal.blog.de/2013/03/14/forensik-decoding-imaging-hexerei-15626483/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-03-09:/2013/03/09/result-research-app-danger-check-15609148/shakal2013-03-09T13:12:19+01:002013-03-09T17:52:40+01:00 <p>Ich finde es ja in der Tat schön zu sehen, wie aus einer kleinen Frage, unter dem Motto "was hältst Du von dieser App, die ist doch merkwürdig oder" so etwas resultieren kann. So haben Marcel Hilzinger, Jörg Voss uns an die Arbeit gemacht und eine entsprechende Auswertung vorgenommen. Resultierend daraus wurden sehr viele dieser Apps dann aus dem Google Play Store entfernt, um User zu schützen und keine weiteren Schäden zu produzieren. Einen ausführlichen Bericht gibt es im <a href="http://shakal.blog.de/2013/03/01/appzocker-fiesen-tricks-anzeigen-mafia-15580058/">Magazin Android User 04/2013</a> , über das ich berichtet habe. Darin beschreiben wir unter anderem, wie eben diese Leute vorgehen. </p> <p class="center"><a href="javascript:window.open(" title="magazin"><img src="http://data8.blog.de/media/050/6923050_2b1064834a_m.jpeg" alt="magazin"></a></p> <p>Fuchs wie der Jörg Voss ist, hat er sich nun im nachhinein gedacht, man könne eine App bereit stellen, die User vor entsprechenden Werbenetzwerken auf den Smartphones mit Android warnt. Ich finde, dass die Idee ausgezeichnet ist und ich unterstütze ausdrücklich diese App, habe sie selbst vor Veröffentlichung getestet und stelle diese nun auch bereit.</p> <p class="center"><a href="javascript:window.open(" title="screen2"><img src="http://data8.blog.de/media/054/6923054_8b01803558_m.png" alt="screen2"></a><a href="javascript:window.open(" title="screen1"><img src="http://data8.blog.de/media/055/6923055_d57b244826_m.png" alt="screen1"></a></p> <p>Good Luck und, ruhig weiter verteilen ;-)</p> <p>Mehr dazu auch:<br> App: <a href="https://play.google.com/store/apps/details?id=com.voss.appdangercheck">https://play.google.com/store/apps/details?id=com.voss.appdangercheck</a><br> <a href="http://shakal.blog.de/2013/03/01/appzocker-fiesen-tricks-anzeigen-mafia-15580058/">http://shakal.blog.de/2013/03/01/appzocker-fiesen-tricks-anzeigen-mafia-15580058/</a><br> Jörg schreibt auch hier: <a href="https://android-security.peggy-forum.com/2013/03/von-appzockern-und-guter-zusammenarbeit/">https://android-security.peggy-forum.com/2013/03/von-appzockern-und-guter-zusammenarbeit/</a></p> <p>Nachtrag: im Screenshot ist GMail ersichtlich. Googlemail ist davon selbstverständlich nicht betroffen. Die Liste der derzeitigen Apps ist hier einsehbar: <a href="https://android-security.peggy-forum.com/download/badpackages.txt">https://android-security.peggy-forum.com/download/badpackages.txt</a> </p> <p> <small> <a href="http://shakal.blog.de/2013/03/09/result-research-app-danger-check-15609148/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-03-05:/2013/03/05/forensik-cellebrite-ufed-anwender-schulung-15593635/shakal2013-03-05T14:33:13+01:002013-03-05T14:33:13+01:00 <p>Wir laden Sie ein zur Cellebrite UFED PA Anwender-Schulung</p> <p>- Praktische Übungen mit UFED Touch – Logical und Ultimate<br> - Physikalische Methodik – Aufbau von Telefonspeichern und Extraktion von Daten<br> - Physikalische Extraktionen von iOS, Android und BlackBerry Telefonen<br> - Phyton plug-ins und Ketten – Editierung und Verwaltung<br> - UFED Physical Analyzer im praktischen Einsatz Version V3.6.5 – Extraktion, Analyse und Erstellen von Berichten<br> - Wiederherstellen von vorhandenen versteckten und gelöschten Daten von mobilen Navigationsgeräten</p> <blockquote><p>22 – 24 April, 2013 -Frankfurt / Main</p></blockquote> <p>Register, klicken Sie hier:</p> <p class="center"><a href="http://www.cellebrite.com/de/component/content/article.html?id=165&tmpl=component&CourseID=CourseID10" title="training"><img src="http://data8.blog.de/media/125/6916125_6b6f333ce1_m.png" alt="training"></a></p> <p>Mehr dazu auch:<br> <a href="http://www.omega-defense.com/training.html">http://www.omega-defense.com/training.html</a> </p> <p> <small> <a href="http://shakal.blog.de/2013/03/05/forensik-cellebrite-ufed-anwender-schulung-15593635/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-03-02:/2013/03/02/android-paar-worte-verschluesselung-sicherheit-15583150/shakal2013-03-02T15:15:33+01:002013-03-02T15:46:10+01:00 <p>Durch die Medien liefen im November 2011 Meldungen, nach denen die Gesichtserkennung zum entsperren eines Android Smartphones als unsicher eingestuft wurde. Hierzu sei angemerkt, dass man durchaus ein Smartphone entsperren kann, sieht man dem Eigentümer z.B. sehr ähnlich. Auch funktioniert der Trick mit dem Foto des Besitzers, mit dem man das Smartphone auch entsperren kann. Google sagte dazu, dass es sich um eine experimentelle Funktion handeln würde und sie als weniger sicher gilt.<br> Das man in der Tat mit einem Foto (Gesicht muss gut erkennbar sein) des Besitzers das Smartphone entsperren kann, ist nicht strittig, habe ich selbst getestet.<br> Nun habe ich in einem Test ein Nexus 4 von Google verschlüsselt, um mehr Sicherheit für die darauf befindlichen Daten zu bekommen. Eingerichtet habe ich die Verschlüsselung über ein Passwort, welches man beim Start des Smartphones auch eingeben muss. Man hat allerdings nun die Möglichkeit, die Sicherheit wieder auszuhebeln. Ein Passwort zu erraten dürfte bei einem gut gewählten Passwort schwerer sein. Nun kann man allerdings die Sicherheitseinstellung dahin gehend wieder ändern, dass man das Smartphone nicht mit dem Passwort entsperrt, sondern mittels der Gesichtserkennung. Beim Start des Smartphones muss man das Passwort wieder eingeben. Allerdings muss man das dann im eingeschalteten Zustand nicht mehr und kann es mittels Bild des Besitzers dann wiederum entsperren.<br> Ich finde es in der Konstellation durchaus als unsinnig zu betrachten und man sollte, im eigenen Interesse der Sicherheit, diese Variante demnach nicht wählen.</p> <p class="center"><img src="http://data8.blog.de/media/018/6911018_30de42f7e0_m.jpeg" alt="crypt"></p> <p>Anmerkung: Sofern man die Gesichtserkennung aktiviert hat und nutzen möchte, so schaue man dort in die Einstellungen rein und findet die Option, dass man die Gesichtserkennung verfeinern kann. Dies sollte genutzt werden.</p> <p>Schönes Wochenende in diesem Sinne.</p> <p>Auch dazu:<br> <a href="http://www.heise.de/security/meldung/Android-4-0-Entsperrung-durch-Gesichtserkennung-ist-nicht-sicher-1378934.html">http://www.heise.de/security/meldung/Android-4-0-Entsperrung-durch-Gesichtserkennung-ist-nicht-sicher-1378934.html</a> </p> <p> <small> <a href="http://shakal.blog.de/2013/03/02/android-paar-worte-verschluesselung-sicherheit-15583150/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-03-01:/2013/03/01/appzocker-fiesen-tricks-anzeigen-mafia-15580058/shakal2013-03-01T14:12:56+01:002013-03-01T14:12:56+01:00 <p>Bei Google Play tummeln sich inzwischen so viele Apps, dass es kaum noch jemanden gibt, der den Überblick darüber behält. Das nutzen App-Entwickler aus, um Daten auszuspionieren, Sie mit Reklame vollzuspammen und mit falschen Versprechen zu betrügen.</p> <p>Jörg Voss, Marko Rogge, Marcel Hilzinger<br> Aus Android User 04/2013</p> <p>Mitte Januar fand Android User bei Google Play zwei Apps mit dem Namen "Pink Keyboard" und "Neon Keyboard" vom Entwickler "Slingshot Devs" [1] . Das Besondere an den Apps: sie hatten erstaunlich viele positive Bewertungen und waren deshalb bei den neuen populären Apps zu finden. Dabei hatten die Tastaturen abgesehen von der Farbe gar nichts zu bieten, im Gegenteil: Es fehlten sämtliche deutschen Sonderzeichen, [Y] und [Z] waren vertauscht und zudem verlangten die Keyboard-Anwendungen sehr viele Berechtiungen, darunter auch das Recht, kostenpflichtige Anrufe zu tätigen.</p> <p>Der ganze Artikel ist in der Printausgabe verfügbar.</p> <p>Mehr dazu:<br> <a href="https://plus.google.com/101206626480204247579/posts/fCyHfD9t8qi">https://plus.google.com/101206626480204247579/posts/fCyHfD9t8qi</a> </p> <p> <small> <a href="http://shakal.blog.de/2013/03/01/appzocker-fiesen-tricks-anzeigen-mafia-15580058/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-02-28:/2013/02/28/forensik-analyse-auswertung-sms-15577380/shakal2013-02-28T17:35:39+01:002013-02-28T17:35:39+01:00 <p>Eine nette Zusammenfassung von Mari [1], wie aus forenischer Sicht SMS gefunden werden können und entsprechend analysiert. Hin und wieder schreibe ich auch kleine Schnipsel dazu, aber hier ist durchaus alles nett zusammen getragen. Unter anderem geht sie auch auf die unterschiedlichen Betrachtungen der Forensik Software ein, die unterschiedliche Ausgaben darstellen. Ich finde das es eine sehr gelungene Mischung und es einmal mehr zeigt, wie gut insbesondere der integrierte Hexeditor von Cellebrite ist. Ich persönlich bin ja der Meinung, dass der Physical Analyzer ein wahres Machtinstrument ist, wenn man damit umzugehen weiß. Vorteil hierbei ist natürlich, dass man wichtige Informationen, wie z.B. Kurzmitteilungen in jedem Fall finden kann, selbst wenn diese nicht decodiert werden konnten. In den Rohdaten eines forensischen Image befinden sich die Datenbanken, in denen die SMS gespeichert werden. [2]</p> <p class="center"><a href="javascript:window.open(" title="sms-forensik1"><img src="http://data8.blog.de/media/806/6907806_2b911aac1c_m.jpeg" alt="sms-forensik1"></a></p> <p>Bekanntlich kann eine Software nicht immer alles abdecken, was man gerade in dem Moment vielleicht benötigt. So ist es durchaus ratsam, andere Hardware oder Software heran zu ziehen. Eine Kombination kann sein, dass man mittels Cellebrite UFED Touch Ultimate [3] ein vollständiges physikalisches Image erstellt (Smartphone gesperrt, adb shell nicht möglich) und dieses dann sichert. Anschließen kann man, wie bereits unter [2] beschrieben, in den FTK einlesen und die SMS Datenbanken daraus dann extrahieren, da FTK [4] hier die Möglichkeit hat, das Filesystem vollständig abzubilden.</p> <p class="center"><a href="javascript:window.open(" title="sms-forensik2"><img src="http://data8.blog.de/media/807/6907807_34aef08b85_m.jpeg" alt="sms-forensik2"></a></p> <p>Anschließend kann man z.B. mit dem SQLiteman dann direkt die *.db die man benötigt einlesen und übersichtlich die SMS in Augenschein nehmen. In ihrem Abstrakt zur Forensik und Gewinnung von Forensik geht Mari unter anderem auch auf die Feinheiten ein, wo und in welchen Bereich sich Kurzmitteilungen befinden. Man kann z.B. bei einigen Samsung Modellen anhand des Flags DEADBEEF im Binary Dump Kurzmitteilungen ausmachen, diese dort aus den SMS.DAT extrahiert werden und darstellbar sind. Also kann man bei bestimmten Modellen auch nach spezifischen Flags im Hexeditor schauen und dürfte auch fündig werden.</p> <p>So viel an dieser Stelle dazu. Weitergehende Informatione über die SMS Datenbanken findet ihr in den anderen Artikeln.<br> Den Artikel von Mari kann ich nur wärmstens empfehlen.</p> <p>[1] <a href="http://az4n6.blogspot.de/2013/02/finding-and-reverse-engineering-deleted_1865.html">http://az4n6.blogspot.de/2013/02/finding-and-reverse-engineering-deleted_1865.html</a><br> [2] <a href="http://shakal.blog.de/2013/02/12/forensic-schnipsel-mms-sms-15525155/">http://shakal.blog.de/2013/02/12/forensic-schnipsel-mms-sms-15525155/</a><br> [3] <a href="http://www.accessdata.com/">http://www.accessdata.com/</a><br> [4] Advanced Hex Search: <a href="http://www.youtube.com/watch?v=f7p_lQr19JY">http://www.youtube.com/watch?v=f7p_lQr19JY</a> </p> <p> <small> <a href="http://shakal.blog.de/2013/02/28/forensik-analyse-auswertung-sms-15577380/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-02-27:/2013/02/27/forensik-schnipsel-angreifer-identifizieren-15573503/shakal2013-02-27T14:23:56+01:002013-02-27T14:23:56+01:00 <p>Grundsätzlich sei vorab angemerkt, dass dies nur ein mögliches Szenario darstellt. Der Angreifer kann, wie einige Forensiker bereits aufzeigen, Anti-Forensik betrieben haben und seine Spuren sind im System gelöscht. Nicht immer sind also Spuren auffindbar und können zu einer Identifizierung des Angreifers führen.<br> Im hier dargestellten Beispiel erfolgte ein Angriff mittels des Framework Metasploit. Hierdurch gelang es dem Angreifer, unbemerkt Code auf dem kompromittierten System einzuschleusen und diesen auszuführen. Dadurch erlangte der Angreifer Zugriff auf das System. Da nicht eindeutig einsehbar ist, welcher Code nachgeladen wurde und ob der Angreifer noch im System arbeitet, ist es ratsam, eine Memory Analyse durchzuführen.</p> <p class="center"><img src="http://data8.blog.de/media/899/6905899_323a6f65cd_m.jpeg" alt="mandiant"></p> <p>Im vorliegenden Fall sind entsprechende Codes noch im System vorhanden:</p> <blockquote><p> AppDataLocalLowSunJavaDeploymentcache6.0261a17fcda-416XXXXXX<br> AppDataLocalLowSunJavaDeploymentcache6.028388ce9dc-61fXXXXX<br> AppDataLocalLowSunJavaDeploymentcache6.038c913f66-45fXXXXXX<br> AppDataLocalLowSunJavaDeploymentcache6.0261a17fcda-416XXXX->metasploit/Payload.class<br> AppDataLocalLowSunJavaDeploymentcache6.028388ce9dc-61fXXXX->metasploit/Payload.class<br> AppDataLocalLowSunJavaDeploymentcache6.038c913f66-45fXXXX->Java.class </p></blockquote> <p class="center"><img src="http://data8.blog.de/media/900/6905900_fc4c10a554_m.jpeg" alt="ident-msf"></p> <p>Beim genauen betrachten kann man in der "Payload.class" die IP finden, zu der sich der Angreifer des kompromittierten System verbindet. Die Java.class zeigt zudem, welches *.jar verwendet wurde, um den Angriff durchzuführen. In diesem Fall wurde ein zertifiziertes Java Skript dem Angreifer untergejubelt, welches dieser ausführte. (Signed_Update.jar, eingebettet in einer gefälschten Webseite)</p> <p>Angegriffenes System war in dem Fall Windows 7 Professional und erneut ermöglichte Java einen erfolgreichen Angriff.</p> <p>Fazit: Java vermeiden wo es geht. Webseiten genauer anschauen, bevor man von dort etwas akzeptiert. Ungewöhnliches Verhalten von technischen Geräten untersuchen lassen. </p> <p>Work: Mandiant Redline, FTK Imager, WibeTech, Sysinternals, EnCase 7.x.</p> <p>(Danke an dieser Stelle nochmal an meinen Kollegen für die Empfehlung)</p> <p>Weitere Informationen dazu:<br> <a href="http://shakal.blog.de/2012/10/10/digitale-forensik-beweise-her-15016883/">http://shakal.blog.de/2012/10/10/digitale-forensik-beweise-her-15016883/</a><br> <a href="http://shakal.blog.de/2012/02/15/pentesting-metasploit-part-1-2-automatisierung-12784344/">http://shakal.blog.de/2012/02/15/pentesting-metasploit-part-1-2-automatisierung-12784344/</a><br> <a href="http://shakal.blog.de/2012/02/05/penetrations-tests-unternehmen-anwendungen-firewall-netzwerk-12652477/">http://shakal.blog.de/2012/02/05/penetrations-tests-unternehmen-anwendungen-firewall-netzwerk-12652477/</a><br> <a href="http://shakal.blog.de/2012/01/02/interview-michael-messner-autor-buches-metasploit-handbuch-penetration-testing-framework-12381503/">http://shakal.blog.de/2012/01/02/interview-michael-messner-autor-buches-metasploit-handbuch-penetration-testing-framework-12381503/</a></p> <p>Forensik Hardware; <a href="http://shakal.blog.de/2012/10/30/unpacking-event-forensic-ultradock-v5-wiebetech-ausgepackt-15146026/">http://shakal.blog.de/2012/10/30/unpacking-event-forensic-ultradock-v5-wiebetech-ausgepackt-15146026/</a></p> <p> <small> <a href="http://shakal.blog.de/2013/02/27/forensik-schnipsel-angreifer-identifizieren-15573503/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-02-19:/2013/02/19/unsecure-schlecht-gewartete-server-spamschleudern-mehr-15547951/shakal2013-02-19T17:00:15+01:002013-02-19T17:24:21+01:00 <p>Wieder einmal tauchte im Spam Ordner, den ich mir rein aus Interesse immer mal wieder ansehe eine Mail auf, die vorgab von Facebook zu sein. Klickt man drauf, so landet man schnell auf einer manipulierten Webseite, die eine reine Weiterleitung auf einen "Pillen Shop" durchführt:</p> <p class="center"><a href="javascript:window.open(" title="spam1"><img src="http://data8.blog.de/media/450/6892450_ed4eac0d43_s.png" alt="spam1"></a><a href="javascript:window.open(" title="share"><img src="http://data8.blog.de/media/451/6892451_19829e74ff_s.png" alt="share"></a></p> <p>Soweit ist das nicht weiter schlimm, da dies ja an sich täglich passiert und der Spam eben über schlecht gewartete Server geleitet wird. Hier z.B. uralte MySQL Datenbanken und auch Plesk ist in Version 7 vorhanden. Nun, nicht weiter wild war ich nur neugierig, was dahinter steckt und so sah ich, dass der Server diverse Dienste anbietet:</p> <blockquote><p> ~# nmap -sV -T4 -O -F xxx.109.185.101</p> <p>Starting Nmap 5.21 ( <a href="http://nmap.org">http://nmap.org</a> ) at 2013-02-19 15:33 CET<br> Nmap scan report for xxxxxxxxxxxbru.schedom-europe.net (xxx.109.185.101)<br> Host is up (0.040s latency).<br> Not shown: 88 filtered ports<br> PORT STATE SERVICE VERSION<br> 21/tcp open ftp?<br> 25/tcp open smtp?<br> 80/tcp open http?<br> 110/tcp open pop3?<br> 143/tcp open imap?<br> 443/tcp open https?<br> 554/tcp open rtsp?<br> 993/tcp open imaps?<br> 995/tcp open pop3s?<br> 1755/tcp open wms?<br> 3306/tcp open mysql?<br> 8080/tcp open http-proxy? </p></blockquote> <p>Nun ja, wenn der Server mir also FTP anbietet und darüber ansprechbar ist, dann darf man das auch nutzen und was sehe ich da. Bin ja fast vom Glauben gefallen was es alles heute noch gibt. Der Server diente offensichtlich einmal dazu, Warez/Moviez etc. zu verteilen, nachdem man den FTP wohl dort geknackt hatte. Aber hey, der "Sniperdany" ist da wohl nicht mehr auf der Kiste drauf. Allenfalls allerdings tummelte er sich auf dem Server. (http://www.hackerkultur.de/fxp-szene.htm)___##7##___ Und so sieht dann so eine Kiste aus:</p> <p class="center"><a href="javascript:window.open(" title="spam2"><img src="http://data8.blog.de/media/470/6892470_2d2cac6295_s.png" alt="spam2"></a><a href="javascript:window.open(" title="spam3"><img src="http://data8.blog.de/media/471/6892471_06d81c51b7_s.png" alt="spam3"></a><a href="javascript:window.open(" title="spam4"><img src="http://data8.blog.de/media/472/6892472_20a29fd42e_s.png" alt="spam4"></a><a href="javascript:window.open(" title="spam5"><img src="http://data8.blog.de/media/474/6892474_c8f244a3da_s.png" alt="spam5"></a></p> <p>Weitere Funde machte ich soweit nicht, wobei ich auch nicht weiter nachgesehen habe.<br> Die Desktop.ini wurde freundlicherweise gleich mit hinterlegt:</p> <blockquote><p> [DeleteOnCopy]<br> Owner=Sniperdany<br> Personalized=5<br> PersonalizedName=Eigene Dateien </p></blockquote> <p> <small> <a href="http://shakal.blog.de/2013/02/19/unsecure-schlecht-gewartete-server-spamschleudern-mehr-15547951/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-02-18:/2013/02/18/sicherheitsluecken-fuehren-15543325/shakal2013-02-18T10:59:16+01:002013-02-18T10:59:16+01:00 <p>Der Michael (http://www.s3cur1ty.de) hat einige Sicherheitslücken in Routern gefunden, die durchaus als schwerwiegend beschrieben werden müssen. Betroffen davon sind einige Hersteller, die sich jedoch aus meiner Sicht etwas unprofessionell verhalten. So muss man lesen, dass einige der betroffenen Hersteller gar nicht reagieren oder sich sehr viel Zeit lassen. Allein dann das bereitstellen von Updates für die Firmware lässt bei einigen Herstellern lange auf sich warten.<br> Nun ist die EU dabei ein Gesetz zu verabschieden, welches eine Meldepflicht von Hackerangriffen vorsieht. Dabei sollen wohl zunächst nur von der Meldepflicht Unternehmen betroffen sein, die kritische Infrastrukturen (z.B. Energieversorger) betreiben. Betrachte ich hierbei einmal die Reaktionszeit von Herstellern, die durchaus einige dieser Geräte auch für kritische Infrastrukturen nutzen gegenüber der Forderung einer Meldepflicht, so bleibt hier durchaus ein enormes Defizit stehen, welches eine Umsetzung effektiv nicht ermöglichen wird. Zudem bleibt auch zu sagen, dass fast ausschließlich interessierte Experten sich Informationen dazu beschaffen. Oftmals erlangen Betroffene kaum Kenntnis davon, dass sie auch betroffen sind. Die Vendoren solcher Schwachstellen gehen einfach zu lapidar damit um.</p> <p class="center"><a href="javascript:window.open(" title="WRT160Nv2-OS-Command-Injection"><img src="http://data8.blog.de/media/143/6890143_cc348ee8d2_m.png" alt="WRT160Nv2-OS-Command-Injection"></a></p> <p class="center">Bild: Michael Messner</p> <p>Dazu auch:<br> <a href="http://www.computerwoche.de/a/eu-kommission-will-meldepflicht-fuer-schwerwiegende-cyber-attacken,2532459">http://www.computerwoche.de/a/eu-kommission-will-meldepflicht-fuer-schwerwiegende-cyber-attacken,2532459</a><br> <a href="http://www.heise.de/newsticker/meldung/Noch-mehr-WLAN-Geraete-mit-Sicherheitsluecken-1804964.html">http://www.heise.de/newsticker/meldung/Noch-mehr-WLAN-Geraete-mit-Sicherheitsluecken-1804964.html</a></p> <p>Michael´s Blog: <a href="http://www.s3cur1ty.de/">http://www.s3cur1ty.de/</a> </p> <p> <small> <a href="http://shakal.blog.de/2013/02/18/sicherheitsluecken-fuehren-15543325/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-02-14:/2013/02/14/foresnik-recovery-vs-carving-15531680/shakal2013-02-14T13:37:28+01:002013-02-14T13:39:44+01:00 <p>Erst kürzlich habe ich einen kleinen Beitrag zum Thema <a href="http://shakal.blog.de/2013/02/06/digitale-forensik-image-carving-15506188/">Image Carving</a> geschrieben. Dabei ging es vornehmlich rein nur um Carving.<br> An dieser Stelle zur Verdeutlichung einmal der sichtbare Unterschied zwischen den Bildern, die von einem Handy wiederhergestellt werden konnten und dazu weiter unten im Screenshot sichtbar, was Carving aus dem gleichen Handy rausholt.<br> Darin enthalten natürlich alle Fragmente, die auf ein Bild hindeuten, aber auch entsprechende Systembilder.<br> Hier stehen 146 wiederhergestellte Bilder den 6573 Bildern aus dem Carving gegenüber.</p> <p class="center"><a href="javascript:window.open(" title="carving"><img src="http://data8.blog.de/media/362/6883362_a5671617b9_m.jpeg" alt="carving"></a></p> <p>Übrigens, es handelt sich hierbei um ein ganz normales Handy von Samsung, einem SGH E620.<br> Analyse: Cellebrite Physical Analyzer.</p> <p>Mehr dazu:<br> <a href="http://shakal.blog.de/2013/02/06/digitale-forensik-image-carving-15506188/">http://shakal.blog.de/2013/02/06/digitale-forensik-image-carving-15506188/</a> </p> <p> <small> <a href="http://shakal.blog.de/2013/02/14/foresnik-recovery-vs-carving-15531680/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-02-12:/2013/02/12/forensic-schnipsel-mms-sms-15525155/shakal2013-02-12T14:47:28+01:002013-02-12T14:47:28+01:00 <p>Für Forensiker sind Daten, insbesondere Fall bezogene Personen Daten oft von enormer Bedeutung. Nicht selten spielen hierbei die Kurzmitteilungen eine Rolle, die über ein Smartphone oder Handy versendet und/oder empfangen wurden. Für die forensische Auswertung sind daher die Datenbanken wichtig, die entsprechende Daten beinhalten.<br> Unter Android wären das die Datenbanken <em>mmssms.db</em> sowie die <em>mmssms.db-wal</em>. Diese befinden sich im Ordner <em>./data/data/com.android.providers.telephony/</em>.<br> Die anderen Datenbanken in dem Ordner beinhalten "lediglich" die Providerdaten der Zugangsabieter für mobile Kurzmitteilungen. Die beiden o.g. Datenbanken (Sqlite Database) unterscheiden sich im aufgeführten Beispiel durchaus enorm in der Größe. Die Datenabnk <em>mmssms.db</em> enthält nur die derzeit auf dem Smartphone gespeicherten Kurzmitteilungen. Hingegen die <em>mmssms.db-wal</em> auch die auf dem Smartphone gelöschten Kurzmittelungen beinhaltet. In dem vorliegenden Fall wurde eine physikalische Extraktion mit <strong>Cellebrite UFED Touch</strong> durchgeführt und anschließend im <strong>FTK Imager von Access Data</strong> gesichtet. Da das physikalische Image der Extraktion bereits durch den Physical Analyzer einmal eingelesen und verifiziert wurde, kann auf dem Image dann gearbeitet werden.</p> <p class="center"><a href="javascript:window.open(" title="dbs"><img src="http://data8.blog.de/media/538/6879538_e5d244bb15_m.jpeg" alt="dbs"></a></p> <p>Diese Informationen basieren darauf, dass man kein root auf dem betreffenden Smartphone ist.<br> Im Falle das man root ist und keine forensische Auswertung durchführen muss, kann man auch einfach vorgehen:</p> <blockquote><p>adb pull /data/data/com.android.providers.telephony/databases/mmssms.db mmsms.db</p></blockquote> <p>Die entsprechenden Android SDK Tools sollten dafür installiert sein.</p> <p>Weitere Informationen dazu:<br> <a href="http://www.accessdata.com/products/digital-forensics/ftk">http://www.accessdata.com/products/digital-forensics/ftk</a> (FTK Imager, Access Data)<br> <a href="http://www.cellebrite.com/de/mobile-forensic-products/ufed-touch-ultimate.html">http://www.cellebrite.com/de/mobile-forensic-products/ufed-touch-ultimate.html</a> (UFED Touch Ultimate)<br> <a href="http://developer.android.com/sdk/index.html">http://developer.android.com/sdk/index.html</a> (Android SDK)<br> <a href="http://developer.android.com/reference/packages.html">http://developer.android.com/reference/packages.html</a> (Android Referenz)</p> <p>Anmerkung: Für die meisten Anwender sei angemerkt, dass root auf einem Android Smartphone nicht zwingend notwendig sei, da hierbei die Grundmöglichkeiten an Sicherheit des Smartphones ausgehebelt werden. Das bedeutet im Zweifel auch, dass andere Apps oder Angreifer damit möglicherweise Zugriff auf Inhalte des Smartphones haben, was ohne root nicht möglich wäre.</p> <p>EOF </p> <p> <small> <a href="http://shakal.blog.de/2013/02/12/forensic-schnipsel-mms-sms-15525155/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-02-08:/2013/02/08/facebook-fehler-hidden-feld-unsichtbares-sichtbar-15511966/shakal2013-02-08T09:21:19+01:002013-02-09T13:13:17+01:00 <p>Im Zuge einer forensischen Auswertung eins Android Smartphone sind mir ungewöhnlich viele Daten des sozialen Netzwerkes Facebook aufgefallen. Ein Blick tiefer in die Daten eines physikalischen Images zeigte deutlich, dass hier Daten auf das Smartphone von Facebook über die App gepusht wurden, die an sich nichts auf dem Smartphone zu suchen haben. Nicht aus Sicherheitsgründen, sondern weil der User dahingehend eine Einstellung vorgenommen hat.</p> <p>Konkret geht es darum, dass man in Facebook seine Privacy Einstellungen so vornehmen kann, dass niemand die E-Mail Adresse sehen kann, mit der man sich je bei Facebook registriert hat. Sprich, die Mailadresse ist für "Freunde" sichtbar aber kann dann in der Timeline verborgen werden.<br> Sofern man genau diese Einstellung vorgenommen hat, ist die Mailadresse nicht im Kontaktfeld sichtbar, wird aber dann trotzdem im Dump dargestellt. Sprich, ein merkwürdiger Designfehler, der offensichtlich unsinnig erscheint.<br> Hat man dort keine Freigabe der Mailadresse eingetragen, z.B. "Mailadresse nur für sich selbst sichtbar", wird diese auch nicht auf das Smartphone übertragen.</p> <p>In dem Beispiel, welches ich dann mit dem geschätzten Kollegen Milan Berger verifizierte, wurde die Facebook App komplett neu installiert, dann einmalig gestartet und es werden sofort eine Menge an Daten synchronisiert. Von jedem Profil in Facebook existiert dann auch eine abgespeckte Version mit Name, Vorname, Mailadresse und Pfad zum Profilbild (nicht immer verschlüsselt) auf dem Smartphone.<br> Von den Rechten der App mehr als logisch, werden sämtliche Mails die in Facebook vorhanden sind, ebenfalls synchronisiert.</p> <p class="center"><a href="javascript:window.open(" title="screen"><img src="http://data8.blog.de/media/971/6871971_cbb8d3276b_m.png" alt="screen"></a><a href="javascript:window.open(" title="screen1"><img src="http://data8.blog.de/media/972/6871972_c574328c65_m.jpeg" alt="screen1"></a></p> <p>Nicht in der Chronik anzeigen? <img src="/img/smilies/icon_smile.gif" alt=":)" class="middle" border="0"></p> <p class="center"><a href="javascript:window.open(" title="hidden"><img src="http://data8.blog.de/media/973/6871973_e9e5d955a5_m.png" alt="hidden"></a></p> <p>Danke an Milan für die Unterstügzung.<br> <a href="https://www.ghcif.de/2013/02/facebook-design-fehler-in-den-privatsphaeren-einstellungen/">https://www.ghcif.de/2013/02/facebook-design-fehler-in-den-privatsphaeren-einstellungen/</a></p> <p><strong>Update:</strong><br> Um die Problematik zu verdeutlichen stelle man sich vor, dass man selbst seine Mailadresse verborgen hat. Somit ist an sich eindeutig, dass die Mailadresse auch nicht für Freunde sichtbar ist, da sie auf "hidden from timeline" steht. Durch den Fehler in der Übertragung der Mailadressen über die Facebook App ist es denkbar, dass unbefugte Personen mittels Sniffing an E-Mail Adressen einfach gelangen können. Eine Suche nach verborgenen E-Mails in Facebook führt in der Tat auch zu einem betroffenen Profil. Allerdings habe ich keine Kenntnis unter normalen Umständen von der Mailadresse. </p> <p> <small> <a href="http://shakal.blog.de/2013/02/08/facebook-fehler-hidden-feld-unsichtbares-sichtbar-15511966/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-02-06:/2013/02/06/digitale-forensik-image-carving-15506188/shakal2013-02-06T13:31:41+01:002013-02-06T13:56:47+01:00 <p>Cellebrite hat seinen Physical Analyzer ebenso aktualisiert, wie die Firmware für UFED und UFED Touch. Eine wichtige Disziplin der Forensik ist unter anderem das so genannte Carving. Hierbei sollen Fragmente von Daten wiederhergestellt werden, die entweder gelöscht oder nur noch teilweise vorhanden sind. In einem vorliegenden Beispiel kann der Physical Analyzer über 30.000 Bildfragmente aus einem 16GB großen mobilen Device carven und diese nutzbar machen. Dabei muss ich sagen, ist die Geschwindigkeit enorm gestiegen und man kann von ca. 3/4 Stunden derzeit ausgehen, die für das Carving benötigt werden. Hierbei werden allerdings auch die Bilder wiederhergestellt, die vom System angelegt sind.<br> Na dann, lasst es rocken!</p> <p class="center"><a href="javascript:window.open(" title="carving1"><img src="http://data8.blog.de/media/014/6869014_442e8ab3fb_m.jpeg" alt="carving1"></a><a href="javascript:window.open(" title="carving"><img src="http://data8.blog.de/media/015/6869015_cb19eca2d8_m.jpeg" alt="carving"></a></p> <p>Mehr dazu: <a href="http://www.forensicswiki.org/wiki/File_Carving">http://www.forensicswiki.org/wiki/File_Carving</a> </p> <p> <small> <a href="http://shakal.blog.de/2013/02/06/digitale-forensik-image-carving-15506188/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-02-04:/2013/02/04/forensik-training-cellebrite-ufed-touch-termine-15498872/shakal2013-02-04T12:34:22+01:002013-02-04T12:34:22+01:00 <p><strong>Logical-Methoden</strong><br> In diesem eintägigen Kurs werden die Teilnehmer mit dem Wissen und den Tools ausgestattet, die bei der Untersuchung von Endgeräte mit dem UFED Logical vonnöten sind: Grundlageneinführung; Den UFED kennenlernen; Anschließen von Geräten und Datenextraktion; Untersuchung und Analyse der extrahierten Daten; Nach Informationen suchen, Berichte erstellen.</p> <p><strong>Ultimate-Methoden</strong><br> In diesem zweitägigen Kurs werden die Teilnehmer mit dem Wissen und den Tools ausgestattet, die bei der Untersuchung von Endgeräte mit dem UFED Ultimate vonnöten sind: Die Grundlagen der Untersuchung des physikalischen Speichers; Den UFED kennenlernen; Anschließen von Geräten und die physikalische Datenextraktion; Untersuchung und Analyse der extrahierten Daten; Nach Informationen suchen, Berichte erstellen.<br> ...</p> <p>Termine:<br> <a href="http://www.omega-defense.com/training.html">http://www.omega-defense.com/training.html</a> </p> <p> <small> <a href="http://shakal.blog.de/2013/02/04/forensik-training-cellebrite-ufed-touch-termine-15498872/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-01-31:/2013/01/31/samsung-tastatur-verrate-tippst-15485597/shakal2013-01-31T15:44:06+01:002013-01-31T15:44:06+01:00 <p>Über die "Einstellungen - Sprache und Eingabe - Samsung Tastatur" kommt man an ein interessantes Feature, der Texterkennung.<br> Diese ist durchaus hilfreich, wenn man z.B. das Wischen über der Tastatur nutzen möchte, um so etwas schneller und effektiver schreiben zu können. Was mir bisher verborgen geblieben ist, dass hier persönliche Daten gesammelt und übermittelt werden sollen, nutzt man die Funktion effektiv.</p> <p class="center"><a href="javascript:window.open(" title="scrren1"><img src="http://data8.blog.de/media/978/6858978_f5c000eb38_m.png" alt="scrren1"></a></p> <p>Man muss schon genauer in die Einstellungen dann reingehen, nämlich auf das Einstellungsrädchen der Samsung Tastatur, um entsprechend den Eintrag zu finden, zu deaktivieren und Daten die eventuell schon gesammelt wurden, auch wieder zu löschen.<br> Da muss man erstmal drauf kommen.</p> <p class="center"><a href="javascript:window.open(" title="screen"><img src="http://data8.blog.de/media/979/6858979_78322f8571_m.png" alt="screen"></a></p> <p class="center">Interessant, von welchen Apps die Tastatur lernen will.</p> <p>So viel zur Datensammelwut einiger Hersteller der Devices.<br> (Galaxy Note, Note 10.1 mit Android 4.1.2)</p> <p class="center"><a href="javascript:window.open(" title="del"><img src="http://data8.blog.de/media/980/6858980_fc9ab0c2c6_m.png" alt="del"></a></p> <p> <small> <a href="http://shakal.blog.de/2013/01/31/samsung-tastatur-verrate-tippst-15485597/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-01-14:/2013/01/14/massenverbloedung-hype-generiert-dummheit-user-15426436/shakal2013-01-14T13:32:34+01:002013-01-19T20:15:04+01:00 <p>Vor einigen Tagen wurde ein Bericht im SternTV ausgestrahlt der mal wieder deutlich machen sollte, was für ein skandalöses Verhalten man bei Facebook entdecken konnte und wie schnell doch die ach so bösen Hacker so an die Daten von Facebook-Usern gelangen können.<br> Zuerst wollte mir nicht mehr als "Geht´s noch?" einfallen. Es ist lange her, dass ich wirklich so viel Unsinn auf einen Haufen gesehen habe. Zum einen ist der Fakt um die Facebook-Apps eben nicht wirklich so wie dargestellt und im anderen muss jeder Nutzer dem auch zustimmen.<br> Heißt im Klartext, dass man eine App erst einmal anlegen muss und damit dann das Recht des Nutzers einfordert, dass hier auf seine Daten zugegriffen werden soll. Das macht in Facebook jede App auf der rechten Seite, wenn man eine denn nutzen will. Das hier eben auch Zugriff auf "Facebook-Mails" dann ermöglicht wird, ist mehr als einleuchtend, wenn ich mir als Facebook App das Recht vom Anwender hole.<br> Liebe Anwender, sofern ihr als Apps benutzt, so ist das wie bei allem anderen auch: schaltet mal das Hirn mit ein.<br> Das darum so ein Wind gemacht wird und "Hacker" damit auch noch in Verbindung gebracht werden, ist mehr als unverständlich.<br> Es muss sich hierbei um ein Sommerloch im Winter handeln.</p> <p class="center"><a href="javascript:window.open(" title="fb"><img src="http://data8.blog.de/media/478/6830478_f09ca104a7_m.png" alt="fb"></a></p> <p>Ps.: wo steht da was von zulassen? Guck mal genau hin, was Du alles einer App erlaubst.</p> <p>Ein weiteres, sehr gutes Beispiel ist ein Trojaner, der durch die Medien gereicht wurde, weil er ja so spektakluär sei. Ehrlich gesagt kann ich auch hier nicht den Wind verstehen, der darum gemacht wird. Besteht nicht einfach mal die Möglichkeit, vor dem Handeln etwas nachzudenken? Es geht hier schließlich immer noch um sensible Daten, eben um Bankdaten.<br> Weiterhin finde ich es erschreckend, dass die Ausnutzung hier in so vielen Schritten vollzogen werden muss, damit der Trojaner überhaupt aktiv werden kann.<br> Heise Online dazu:<br> "Zunächst infizieren die Abzocker den Rechner mit einem Trojaner, der die Zugangsdaten zum Online-Banking-Portal der Bank ausspäht. Darüber hinaus zeigt die Malware einen vermeintlichen Warnhinweis der Bank an, laut dem der Kunde unbedingt ein wichtiges Sicherheitsupdate auf seinem Smartphone installieren müsse. Hierzu fragt der Trojaner die Handynummer des Opfers in spe ab.</p> <p>Anschließend verschicken die Kriminellen einen Link per SMS an das Handy, die den Link zum vermeintlichen Sicherheitsupdate enthält. Bei dem Fake-Update handelt es sich in Wahrheit um einen Android-Trojaner, der eingehende SMS überwacht und an eine andere Rufnummer weiterleitet, sofern er eine mTan darin entdeckt."</p> <p>Das wars, mehr Zauber gibt´s nicht um die Apps und den Beitrag.<br> <a href="http://www.stern.de/tv/sterntv/schnueffeln-per-facebook-app-so-schnell-wird-privates-oeffentlich-1951237.html">http://www.stern.de/tv/sterntv/schnueffeln-per-facebook-app-so-schnell-wird-privates-oeffentlich-1951237.html</a></p> <p>Der Trojaner:<br> <a href="http://www.heise.de/security/meldung/Online-Banking-Trojaner-mit-Android-Komplizen-1749839.html">http://www.heise.de/security/meldung/Online-Banking-Trojaner-mit-Android-Komplizen-1749839.html</a> </p> <p> <small> <a href="http://shakal.blog.de/2013/01/14/massenverbloedung-hype-generiert-dummheit-user-15426436/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-01-11:/2013/01/11/gutschein-real-like-facebook-15417565/shakal2013-01-11T14:39:29+01:002013-01-11T14:52:31+01:00 <p>Ich bin durchaus immer wieder erstaunt, dass solche Dinge noch immer funktionieren. Aber, dem ist nun einmal so ...</p> <blockquote><p> Domain name: real-gutschein.com</p> <p>Registrant Contact:<br> WhoisGuard<br> WhoisGuard Protected ()</p> <p> Fax:<br> 11400 W. Olympic Blvd. Suite 200<br> Los Angeles, CA 90064<br> US</p> <p>Administrative Contact:<br> WhoisGuard<br> WhoisGuard Protected (e17dd9ec9a6e43718b97e24fc23f51eb.protect@whoisguard.com)<br> +1.6613102107<br> Fax: +1.6613102107<br> 11400 W. Olympic Blvd. Suite 200<br> Los Angeles, CA 90064<br> US </p></blockquote> <p>Weil ja Real so eine Domain registrieren würde :-)<br> Aber seht selbst ... </p> <p class="center"><a href="javascript:window.open(" title="real0"><img src="http://data8.blog.de/media/933/6825933_488433d515_m.png" alt="real0"></a><a href="javascript:window.open(" title="fail"><img src="http://data8.blog.de/media/934/6825934_5ceae1a8b2_m.png" alt="fail"></a><a href="javascript:window.open(" title="real2"><img src="http://data8.blog.de/media/935/6825935_3d3abf780c_m.png" alt="real2"></a><a href="javascript:window.open(" title="real1"><img src="http://data8.blog.de/media/937/6825937_3effa577f2_m.png" alt="real1"></a></p> <p>Na dann, schönes Wochenende <img src="/img/smilies/icon_smile.gif" alt=":)" class="middle" border="0"></p> <p>Nachtrag: hier steht auch dazu etwas<br> <a href="http://www.mimikama.at/allgemein/der-500-eur-gutschein-von-real-ist-ein-fake/">http://www.mimikama.at/allgemein/der-500-eur-gutschein-von-real-ist-ein-fake/</a> </p> <p> <small> <a href="http://shakal.blog.de/2013/01/11/gutschein-real-like-facebook-15417565/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-01-10:/2013/01/10/android-recht-rechte-abzutreten-15413553/shakal2013-01-10T10:30:36+01:002013-01-10T10:30:36+01:00 <p>Die Kollegen der SCIP AG haben einen Bericht [1] veröffentlicht, der sich erneut mit dem Thema "Rechte von Android Apps" befasst. Der Autor (O.Kunz) hat sich dabei auf 500 Apps gestürzt und diese ein wenig unter die Lupe genommen. Auch gibt es dazu eine entsprechende Einschätzung am Ende des gesamten Artikel, die ich durchaus für wichtig erachte.<br> Kurzum allerdings schaute ich mir nach dem Artikel einmal an, wie unterschiedlich in der Tat die Darstellung der Rechte von Apps sind, wenn man diese sich im Play Store von Google anschaut. Man hat die Möglichkeit bei der Installation einer App über sein Smartphone, sich die Rechte einer App anzuschauen. Bei meinem Beispiel (Whatsapp Messenger) ist das bereits grenzwertig genug. Allerdings kann man auch die Apps direkt aus dem Play Store im Browser (play.google.com) installieren und sich auch dort die Rechte einer App genauer anschauen. Nachfolgende Screenshots zeigen die Abweichungen, nebst der Formulierungen, die durchaus zu verbessern wären.<br> Zunächst einmal bekommt man auf dem Smartphone eine Übersicht, die ein wenig zeigt, was die App für Rechte hat. Dort muss man dann rechts auf den kleinen Feil gehen, um die Details zu bekommen. Diese sind allerdings auch dann abweichend (teilweise) von den Beschreibungen im Play Store direkt über den Browser.</p> <p class="center"><img src="http://data8.blog.de/media/060/6824060_9cb10b6512_m.png" alt="screen"></p> <p>Hier dann noch das Beispiel, wie die Berechtigungen der App (Whatsapp Messenger) im Play Store über den Browser angezeigt werden können.</p> <p class="center"><a href="javascript:window.open(" title="permissions1"><img src="http://data8.blog.de/media/061/6824061_4ad5c6574f_s.png" alt="permissions1"></a><a href="javascript:window.open(" title="permissions11"><img src="http://data8.blog.de/media/062/6824062_eb0f7a5992_s.png" alt="permissions11"></a></p> <p>Oder so:</p> <p class="center"><a href="javascript:window.open(" title="permissions22"><img src="http://data8.blog.de/media/063/6824063_363982f398_s.png" alt="permissions22"></a><a href="javascript:window.open(" title="permissions2"><img src="http://data8.blog.de/media/064/6824064_fde9d5f442_s.png" alt="permissions2"></a></p> <p>Ps.: Mit root Rechten ist hier sicherlich für Beschränkungen zu sorgen, allerdings ist dies keine grundsätzliche Empfehlung.</p> <p>[1] Bericht der SCIP AG:<br> <a href="http://www.scip.ch/?labs.20130110">http://www.scip.ch/?labs.20130110</a></p> <p>Auch dazu:<br> <a href="http://shakal.blog.de/2012/01/10/android-intern-permissions-rechte-apps-12424587/">http://shakal.blog.de/2012/01/10/android-intern-permissions-rechte-apps-12424587/</a></p> <p>Trotzdem, viel Spaß mit Euren Smartphones <img src="/img/smilies/icon_smile.gif" alt=":)" class="middle" border="0"> </p> <p> <small> <a href="http://shakal.blog.de/2013/01/10/android-recht-rechte-abzutreten-15413553/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2013-01-08:/2013/01/08/deutsche-geschichte-hautnah-erlebt-15407909/shakal2013-01-08T15:49:41+01:002013-01-08T15:49:41+01:00 <p>Ich hatte kürzlich die Möglichkeit, mir ein finsteres Kapitel deutscher Geschichte anzusehen und mir selbst ein Bild davon zu machen, wie grausam das alles gewesen sein muss. Das Tor zur Hölle von Auschwitz-Birkenau ist eine der Abbildungen. Davor zu stehen und im Hinterkopf zu wissen, dass so viele Menschen hierher gefahren wurden, nur um diese hinzurichten durch Vergasung und Erschießung, ist sehr beklemmend. Kein schönes Gefühl. Dennoch finde ich es wichtig, ohne erhobenen Zeigefinger, sich die Geschichte vor Augen zu führen. Man hat kaum eine Vorstellung von dem, was man hier Menschen angetan hat. Aber selbst Überlebende sagten, das es Menschen waren, die es taten.</p> <p>Mehr dazu:</p> <p><a href="https://plus.google.com/103916345984512341806/posts/AjENjC7ag8z">https://plus.google.com/103916345984512341806/posts/AjENjC7ag8z</a></p> <p>Auf dem unteren Bild: In Krakau am Übergang vom Viertel wo #Schindlers Fabrik steht, rüber ins jüdische Viertel Kazimierz( ehm Getto von Kra.)</p> <p class="center"><img src="http://data8.blog.de/media/382/6821382_5588b54f96_m.jpeg" alt="marko-krakow2"></p> <p> <small> <a href="http://shakal.blog.de/2013/01/08/deutsche-geschichte-hautnah-erlebt-15407909/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2012-12-23:/2012/12/23/news-spionage-geschichte-vlingo-samsung-15348313/shakal2012-12-23T14:05:44+01:002012-12-23T16:55:39+01:00 <p>Zu Beginn des Jahres stellte sich heraus, dass die Anwendung S-Voice von Samsung durchaus ein Verhalten der Spionage an den Tag legt. Hinreichend wurde dazu in einschlägigen Android Foren und/oder Newsseiten berichtet. Auch ich habe die Geschichte untersucht und das eine oder andere i-Tüpfelchen dazu noch heraus gefunden.<br> Jetzt wird erneut darüber berichtet und man findet Sachen und kommuniziert diese als sensationelle News. Dabei sind alle Informationen dazu bereits veröffentlicht gewesen.<br> Also, nicht verrückt machen lassen ... </p> <p>"Ich habe nun schon mehrfach wieder gelesen, dass Leute die Vlingo Geschichte neu aufleben lassen und nun heraus gefunden haben wollen, wer hier mittels Vlingo (S-Voice) denn Spionage betreibt.<br> Es sind, hingegen der publizierenden Webseiten keine neuen Informationen gefunden worden auch ich kann auch nicht bestätigen, dass dieses damalige Verhalten auf aktuelle Geräte zutreffend ist. Von daher ist es aus meiner Sicht eher als witzig zu bezeichnen, dass man einer in der Lage ist, nslookup zu bedienen ;-)<br> Vor knapp 1 Jahr habe ich dazu an sich alles veröffentlicht, was man dazu wissen musste. Neues gibt´s nicht."</p> <p>Alles dazu:<br> <a href="http://www.omega-defense.com/vlingo.html">http://www.omega-defense.com/vlingo.html</a></p> <p><a href="https://plus.google.com/103916345984512341806/posts/cBMza39RXZN">https://plus.google.com/103916345984512341806/posts/cBMza39RXZN</a></p> <p>Cheers.</p> <p>Ps.: Reverse DNS Lookup kann auch durchaus mal schief gehen.</p> <p class="center"><img src="http://data8.blog.de/media/866/6797866_36d19f0a45_m.png" alt="vlingo"><a href="javascript:window.open(" title="vlingo1"><img src="http://data8.blog.de/media/867/6797867_c2aaa02296_m.png" alt="vlingo1"></a></p> <p> <small> <a href="http://shakal.blog.de/2012/12/23/news-spionage-geschichte-vlingo-samsung-15348313/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2012-12-21:/2012/12/21/weihnachten-kommen-15342477/shakal2012-12-21T11:07:35+01:002012-12-21T12:00:37+01:00 <p>Liebe Freunde, Kollegen und meine lieben Leser, alle Jahre wieder heißt es dann wohl "Oh Tannenbaum, oh Tannenbaum..." und so möge der eine oder andere fröhlich mit der Familie unter dem Tannenbaum singen und sich Geschenke verabreichen. Fröhnt Euren Traditionen, nehmt Euch Zeit für Eure Familien, kocht Fisch oder andere traditionelle Speisen.<br> Ich möchte allen eine gute Zeit wünschen, besinnliche Tagen die hoffentlich nicht nur an den heiligen Tagen anhalten mögen. Auf in ein neues Jahr und dazu einen guten Rutsch.</p> <p>Cheers, Marko.</p> <p class="center"><a href="javascript:window.open(" title="ruhe"><img src="http://data8.blog.de/media/524/6794524_0a07c56f97_m.jpeg" alt="ruhe"></a></p> <p class="center">(Es muss nicht immer ein Tannenbaum sein. Frieden und Ruhe darf auch so symbolisiert werden.)</p> <p>A.d.R.: Das Foto wurde am Strand von Tel Aviv aufgenommen, unmittelbar in der Nähe von Marina ;-) </p> <p> <small> <a href="http://shakal.blog.de/2012/12/21/weihnachten-kommen-15342477/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2012-12-17:/2012/12/17/root-exploit-via-exynos-geraete-15328443/shakal2012-12-17T12:53:19+01:002012-12-17T12:53:19+01:00 <p>Im Forum von xda-developters.com ist eine Schwachstelle veröffentlicht worden die es ermöglicht, Code einzuschleusen und diesen auf betroffenen Geräten auszunutzen. Derzeit sind die Samsung-Geräte Galaxy S3, Galaxy S2 und Galaxy Note 2 sowie das Meizu MX betroffen. Allerdings dürften sich auch andere Smartphones oder Geräte ausnutzen lassen, die mit dem Exynos Chip ausgestattet sind. Chainfire hat dazu einen ausführbahren Exploit veröffentlicht, der die Schwachstelle ausnutzt.<br> (http://forum.xda-developers.com/showthread.php?t=2050297)</p> <p>Grundlegend aber möchte man doch hier auch darauf hinweisen, dass eine Ausnutzung derzeit immer damit verbunden ist, dass Code ausgeführt werden muss. Dabei kann es sich durchaus auch um 3rd Party Apps handeln, bei denen so oder so Vorsicht geboten ist. Denkbar ist natürlich auch, dass Apps aus dem Play Store diese Schwachstelle ausnutzen könnten. Achtsamkeit ist demnach natürlich geboten.</p> <p>Mehr dazu:<br> <a href="http://forum.xda-developers.com/showthread.php?t=2048511">http://forum.xda-developers.com/showthread.php?t=2048511</a> &<br> <a href="http://forum.xda-developers.com/showthread.php?t=2050297">http://forum.xda-developers.com/showthread.php?t=2050297</a></p> <p>https://twitter.com/ChainfireXDA/status/280487039269490688</p> <p>Ps.: Die Patches sind ziemlich buggy. </p> <p> <small> <a href="http://shakal.blog.de/2012/12/17/root-exploit-via-exynos-geraete-15328443/#comments">Kommentare</a> </small> </p> tag:shakal.blog.de,2012-12-13:/2012/12/13/mobile-forensik-videotutorials-15315665/shakal2012-12-13T15:57:24+01:002012-12-13T15:57:24+01:00 <p>So manches Mal gelingt es der besten Dekodierungssoftware nicht, entsprechende Informationen aus einem Flash Speicher so zu extrahieren, dass diese für einen Ermittler entsprechend lesbar sind. In der Form lesbar, dass die Informationen aufbereitet nur noch in einen Report gepackt werden müssen, damit die Auswerter damit arbeiten können. In diesen Fällen hilft dann die Arbeit mit einem Hexeditor, der jegliche Informationen bereit hält. Hierbei ist es durchaus entscheidend zu wissen, wo welche Informationen/Daten und in welcher Form abgelegt werden. Der Physical Analyzer von Cellbrite bringt für genau diese Zwecke einen leistungsstarken Hexeditor mit, mit dem tief im Inneren der Speicherabbilder direkt gearbeitet werden kann. Daraus extrahierte und gewonnenen Informationen lassen sich dann wieder selektiv in einen Report packen. Ein wichtiger Bestandteil ist die Suchfunktion, die integriert ist. Wie stark der Physical Analyzer mit allen Funktionen ist, zeigen eindrucksvoll einige der Videos, die von Cellebrite zur Verfügung gestellt werden.<br> Ein Blick lohnt sich:</p> <p><a href="http://www.cellebrite.com/mobile-forensic-support/ufed-video-tutorials.html">http://www.cellebrite.com/mobile-forensic-support/ufed-video-tutorials.html</a></p> <p>z.B.:<br> <strong>Advanced Hex Search in UFED Physical Analyzer</strong><br> How to use the "Additional Data" feature in the Advanced Hex Search in UFED Physical Analyzer.</p> <p><strong>ICCID Search in UFED Physical Analyzer</strong><br> How to use the ICCID Search feature in the Advanced Hex Search in UFED Physical Analyzer.</p> <p class="center"><a href="javascript:window.open(" title="hex"><img src="http://data8.blog.de/media/885/6781885_a2c8abeebc_m.png" alt="hex"></a></p> <p> <small> <a href="http://shakal.blog.de/2012/12/13/mobile-forensik-videotutorials-15315665/#comments">Kommentare</a> </small> </p>